Google hat Chrome-Nutzer aufgefordert, den Webbrowser auf die neueste Version zu aktualisieren, um Angriffe durch Cyberkriminelle zu vermeiden.
Ende letzter Woche veröffentlichte das Unternehmen Chrome 99.0.4844.84 für Windows, Mac und Linux, das eine Zero-Day-Schwachstelle mit hohem Schweregrad behebt, die die Remote-Code-Ausführung ermöglicht.
Darüber hinaus wurde das Problem bereits in realen Szenarien missbraucht. „Google ist sich bewusst, dass ein Exploit für CVE-2022-1096 existiert“, sagte das Unternehmen.
google chrome null tag
Die als CVE-2022-1096 verfolgte Schwachstelle wird als verwirrende Schwachstelle in der JavaScript-Engine von Chrome V8 beschrieben.
Es ermöglicht einem Angreifer, den Browser zum Absturz zu bringen und könnte daher für einen Denial-of-Service-Angriff missbraucht werden, sowie beliebigen Code ausführen, was zu Malware- und Ransomware-Infektionen führen könnte.
Da der Fehler in freier Wildbahn ausgenutzt wird, hält Google zusätzliche Informationen bewusst zurück, bis Benutzer ihre Systeme reparieren können.
„Der Zugriff auf Fehlerdetails und Links kann eingeschränkt sein, bis die Mehrheit der Nutzer über einen Fix informiert ist“, sagte Google. „Wir behalten die Einschränkungen auch bei, wenn der Fehler in einer Drittanbieter-Bibliothek auftritt, von der andere Projekte in ähnlicher Weise abhängig sind, das aber noch nicht behoben wurde.“
Der Fix ist jetzt draußen, aber es könnte Wochen dauern, bis er alle Chrome-Benutzer erreicht. Wer überprüfen möchte, ob sein Client automatisch aktualisiert wurde, kann dies über das Chrome-Menü > Hilfe > Über Google Chrome tun, das die Versionsnummer anzeigt.
Nach der Entdeckung von CVE-2022-0609 ist dies der zweite Zero-Day, der seit Anfang des Jahres in Chrome gefunden und behoben wurde. Google beschreibt die Sicherheitslücke als „use after free in animation“, geht jedoch nicht näher auf die damit einhergehenden Auswirkungen oder das extreme Risiko ein.
Das Unternehmen sagt, dass die Fehler von Natur aus missbraucht werden, lehnte es jedoch ab, Details darüber zu teilen, wie oder von wem. Es ist unklar, ob Malware entwickelt wurde, um den Fehler auszunutzen, und ob Antivirus-Lösungen ihn erkennen werden oder nicht.
Über BleepingComputer